Een beveiligingslek in verschillende routers van netwerkfabrikant TP-Link wordt actief gebruikt om de DNS-instellingen van kwetsbare apparaten te wijzigen en het verkeer zo langs een IP-adres van de aanvaller te leiden, die zo een man-in-the-middle-aanval kan uitvoeren.
De kwetsbaarheid in de routers is al sinds april van dit jaar bekend en in het geval van de TP-Link WR1043ND V1 via een firmware-update gepatcht. Hoewel er regelmatig lekken in routers worden gemeld, zijn er maar weinig gevallen bekend waarbij de lekken ook daadwerkelijk worden aangevallen.
Beveiligingsonderzoeker Jakob Lell zegt een actieve campagne te hebben ontdekt waarbij het lek in de TP-Link routers actief wordt aangevallen. Zodra een gebruiker met een kwetsbare router een gehackte website bezoekt, probeert de exploit de upstream DNS-server van de router in een IP-adres van de aanvaller te veranderen. Die kan zodoende man-in-the-middle-aanvallen uitvoeren.
De exploit werd op vijf websites aangetroffen die niet aan elkaar gerelateerd waren. Wat de aanvallers van plan zijn is nog onduidelijk, aangezien er geen aanwijzingen zijn dat het omgeleide verkeer ook werd gemanipuleerd, aldus Lell. Hij merkt op dat de TP-Link TL-MR3020 en TL-WDR3600 allebei lek zijn, maar dat ze in de standaard configuratie niet kwetsbaar voor de exploit zijn. Gebruikers die willen weten of hun router is aangevallen kunnen dat via deze blogposting van Lell controleren.
Deze posting is gelocked. Reageren is niet meer mogelijk.